co to jest integralność plików?

jeśli jesteś zaznajomiony z bezpieczeństwem IT, musiałeś słyszeć triadę CIA: model bezpieczeństwa, który obejmuje różne części bezpieczeństwa IT. Będąc jednym z członków triady CIA, integralność plików odnosi się do procesów i wdrożeń mających na celu ochronę danych przed nieautoryzowanymi zmianami, takimi jak cyberataki. Integralność pliku informuje, czy plik został zmieniony przez nieautoryzowanych użytkowników po utworzeniu, podczas przechowywania lub pobierania. Monitorowanie integralności plików (FIM) to mechanizm kontroli, który bada pliki i sprawdza, czy ich integralność jest nienaruszona i ostrzega odpowiednie procesy bezpieczeństwa i/lub specjalistów, jeśli pliki przeszły jakąkolwiek zmianę. Ten rodzaj oprogramowania uznaje każdą zmianę Za podejrzany problem integralności, jeśli nie jest zdefiniowany jako wyjątek. Ponieważ sieci i konfiguracje stają się z czasem coraz bardziej złożone, monitorowanie integralności plików jest koniecznością. Ponadto jest to jedno z najbardziej preferowanych narzędzi do wykrywania naruszeń i złośliwego oprogramowania i jest znakiem rozpoznawczym wielu przepisów dotyczących zgodności. PCI DSS odnosi się do FMI w dwóch sekcjach swojej polityki. Jako narzędzie przeciwko złośliwemu oprogramowaniu, FMI udowadnia swoje mocne strony. Pierwszym krokiem atakującego po uzyskaniu dostępu do systemu jest wprowadzenie zmian w ważnych plikach, aby pozostały niezauważone. Korzystając z monitora integralności plików, łapiesz intruza w momencie, gdy próbuje zmienić pliki i konfiguracje. Co więcej, narzędzia FMI pozwalają zobaczyć, co dokładnie zmieniło się kiedy. W ten sposób można na chwilę złapać naruszenie danych, zanim zdarzy się prawdziwy, szkodliwy atak.

ale jak działa FIM?

w dynamicznych środowiskach pliki i konfiguracje zmieniają się szybko i bez przerwy. Najważniejszą cechą FIM jest odróżnienie autoryzowanej zmiany od nieautoryzowanej nawet w najbardziej zwinnych systemach. W tym celu FIM może stosować jedną z dwóch metod: sumę kontrolną i haszowanie. W przypadku metody sumy kontrolnej wykrywana jest zaufana, dobra linia bazowa i porównywany jest bieżący stan pliku z linią bazową. Porównanie to zazwyczaj obejmuje obliczenie znanej kryptograficznej sumy kontrolnej stanu bazowego i bieżącego. Hashowanie lub weryfikacja oparta na hashowaniu obejmuje porównanie wartości skrótu pliku z wcześniej obliczoną wartością. Jeśli te dwa się zgadzają, integralność pliku jest nienaruszona. Oprócz wartości skrótu; wartości konfiguracyjne, zawartość, poświadczenia, podstawowe atrybuty i rozmiar, uprawnienia i ustawienia zabezpieczeń mogą być monitorowane pod kątem nieoczekiwanych zmian. Akty FIM są często zautomatyzowane przy użyciu aplikacji lub procesów. Takie działania FIM mogą być wykonywane w czasie rzeczywistym, w predefiniowanych odstępach czasu lub losowo zgodnie z potrzebami biznesu i systemu. Aby zaspokoić potrzeby Twojej firmy, FIM musi zintegrować się z innymi obszarami Twoich środków bezpieczeństwa,takimi jak system SIEM. Na przykład porównywanie danych zmian z innymi danymi zdarzeń i dziennika pozwala szybciej identyfikować przyczyny i korelację.